Auf der Rückseite von Master- und Visakarten, gleich neben dem Feld für die Unterschrift, steht eine aufgedruckte Geheimzahl aus drei kleinen Ziffern. 089 lautet sie zum Beispiel, oder 945, oder 328. Die Ziffernfolge ist von Karte zu Karte verschieden. Im Branchenjargon wird sie »Kartenprüfnummer« genannt, sie soll das Einkaufen per Telefon und im Internet sicherer machen. Das stimmt bloß nicht.

Die Kartenprüfnummer wurde Ende der neunziger Jahre erfunden, weil im damaligen Internetboom auch ein neues, dunkles Geschäft entstand: Kreditkartenbetrug per Internet . Es war das nahezu perfekte Verbrechen. Wer sich geschickt anstellte, konnte anonym im Internet surfen und mit ein paar gestohlenen Informationen – einer Kartennummer, dem Namen des Karteninhabers und dem Ablaufdatum – auf Kosten anderer Leute einkaufen.

Solche Angaben finden sich gelegentlich auf Kassenbelegen, sie können auch von betrügerischen Kellnern und Kassierern kopiert werden, und immer verbreiteter wird das sogenannte Skimming : Deutsche Banken mussten gerade erst Tausende Geldautomaten austauschen, weil Gauner die Geräte mit Lesegeräten spicken konnten; Hunderttausende ec- und Kreditkartendaten sollen auf diese Weise schon ausspioniert worden sein. Im Internet blüht das Geschäft mit gestohlenen Kreditkartendaten: Millionen davon werden täglich gehandelt.

Glaubt man den Kreditkartenfirmen, dann soll der dreistellige Zahlencode, den man bei Einkäufen übers Telefon und per Internet stets nennen muss, gegen den Missbrauch gestohlener Kartendaten helfen. Er »soll die Nutzung von gefälschten oder gestohlenen Kreditkarten verhindern und Bezahlvorgänge im Versandhandel sicherer gestalten«, erläutert beispielsweise der Eurocard-Verbund. Visa formuliert es so: »Durch die Kartenprüfnummer wird sichergestellt, dass die einkaufende Person auch tatsächlich im Besitz der Kreditkarte ist und nicht nur einen Einkaufsbeleg hat oder in Kenntnis der Kartennummer ist.«

Es gibt aber ein Problem: Es dauert zwischen einer Viertelstunde und wenigen Stunden, diese Kartenprüfzahl zu knacken. Sebastian Schreiber zum Beispiel kann das, 38 Jahre alt, ein studierter Informatiker aus Tübingen, der gerne Anzug und Krawatte trägt und nach eigener Beschreibung von Beruf ein »Penetrationstester« ist. Das heißt, er spürt Sicherheitslücken in elektronischen Systemen auf. Ein Hacker, könnte man auch sagen, im Dienste von Unternehmen und Banken.

Für die ZEIT unternahm Schreibers Firma SySS GmbH einen einfachen Test: Sie bekam telefonisch die Angaben von der Vorderseite einer Kreditkarte. Am nächsten Morgen rief dann Schreibers Mitarbeiter Micha Borrmann zurück und sagte in routinemäßigem Tonfall: »027.« Das war die angeblich streng geheime Prüfzahl auf der Kartenrückseite. Einmal versagte das Verfahren der Tübinger bei den Tests – aber wieder und wieder führten Wiederholungen zum gleichen Ergebnis: Die von Schreibers Team ermittelte Zahl stimmt.

Das ist an sich schon merkwürdig genug. Noch merkwürdiger ist, was passiert, wenn man bei den Kreditkartenfirmen und Finanzinstituten anruft und sich nach dieser Sicherheitslücke erkundigt. »Uns ist nicht bekannt, dass es da Sicherheitsprobleme geben könnte«, lautet die Antwort vom Bankenverband. »Der CVV2 (so heißt die Visa-Kartenprüfziffer im Jargon, Anm. d. Red.) kann nicht einfach errechnet werden«, schreibt Visa zurück. Bei Banken, auch bei manch großen Sicherheitsfirmen lautet die Auskunft ähnlich. Mastercard schickt als Antwort eine lange Erklärung, verfasst von hausinternen Experten: Der Code hinten auf der Karte sei unknackbar, weil darin ein »Triple-DES cryptographic algorithm« zum Einsatz komme sowie ein »double-length-112-bit secret key«.